イントロダクション
HASTOSは3省2ガイドラインに準拠して開発、運用されています。
3省2ガイドラインとは、電子的に医療情報を取り扱う事業者が、適切な情報保護のため準拠すべきとされるガイドライン(指針)のことで、(1)厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、(2)経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つのことを言います。
(1)「医療情報システムの安全管理に関するガイドライン(第6.0版)」(厚生労働省)
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
(2)「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1.1版)」(経済産業省・総務省)
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
それぞれのガイドラインに関するHASTOSの取り組みは次のとおりです。
(1)「医療情報システムの安全管理に関するガイドライン(第6.0版)」(厚生労働省)に関するHASTOSの取り組みについて
→こちらのPDFファイルをご覧ください。
(2)「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1.1版)」(経済産業省・総務省)に関するHASTOSの取り組みについて
→こちらのPDFファイルをご覧ください。
よくある質問と回答
Q:HASTOSサービス用設備について教えて
A:HASTOSサービス用設備等に関し、以下の措置を講じています。
(1) 電気通信回線、認証・認可等
- 「医療情報システムの安全管理に関するガイドライン(第6.0版)システム運用編(以下、医療情報ガイドラインという。)」の「13. ネットワークに関する安全管理措置」に定める措置を講ずる。
- 「医療情報ガイドライン」の 「14. 認証・認可に関する安全管理措置」に定める措置を講ずる。
- IDとパスワードによる利用者認証とクライアント証明書を利用したTLSクライアント認証の二要素認証を採用し、指定された者以外の者の入室が制限される区画の中に端末を設置する。また、契約者においても同様の措置が求められる。
(2) サーバ環境並びにデータセンタ
- サーバ環境は、「医療情報ガイドライン」の「8. 利用機器・サービスに対する安全管理措置」に定める措置を講ずる。
- データセンタは、「医療情報ガイドライン」の「12. 物理的安全管理措置」に定める措置を講ずる。